操作系统与应用程序的漏洞从来就不会消失。许多公司都在为系统打补丁的工作付出超额的人力成本,但等待安装重要安全补丁的维护时段,则是一段艰难和危险的过程。况且,传统的劳动密集型IT补丁流程尚未得到改善,不能足够快地修补漏洞,这与黑客多次利用零日(0day)漏洞大规模攻击形成鲜明对比。
趋势科技作为全球服务器安全、虚拟化及云计算安全领导厂商,在服务器深度安全防护系统(Deep Security)和防毒墙网络版(Office Scan)内置了虚拟补丁技术(Virtual Patching),其用户将可以用更低的成本构建动态安全的数据中心,全面提升企业安全管理的效率。同时,安全主管们也正在利用这种创新的补丁维护技术打破了僵局,使用虚拟补丁来保护服务器和桌面系统免受日益严峻的网络威胁。
风险日益逼近 补丁管理成本消耗巨大
趋势科技(中国区)资深产品经理张明台举例谈到:“以微软近期紧急通知的‘MS12-020远程桌面的漏洞可能会允许远端执行程序码’为例,这包括了“远程桌面通讯协议”中两项未公开报告的信息安全风险,如果攻击者将蓄意制作的 RDP封包序列传送至受影响的系统,将允许攻击者远程执行程序代码。在该漏洞发布当天,趋势科技的客户就收到了针对该漏洞的虚拟补丁更新。但与使用低成本、快时效、更简便的虚拟补丁用户相反,很多采用传统的补丁管理方式用户则需要在今后的一段时间里,仍然为这一类信息安全更新的等级为“重大”的补丁继续疲惫的应付,并且他们很有可能将面临大规模的零日(0day)漏洞攻击。“
趋势科技认为,在一般情况下,一旦漏洞公布之后,网络攻击会在一天之后就会遍地开花。自动攻击带来的大多数损害发生在消息发布后的前15天内,而80%的攻击出现在60天内。曾有机构统计,现在网络用户使用的操作系统和应用程序,每一千行代码中就有可能存在四至五个编码漏洞。由于系统和应用程序的开发商不可能对所有的代码进行严格的检查,在许多情况下,调查、测试和将补丁程序部署到操作系统可能需要30天或更多时间,对于应用程序来说,通常需要更久。而且,可能遭遇的情况就是,上一个严重漏洞还还没有修补,新的补丁更新程序却已经来到。应该说,在任何一个补丁的“空档期”,企业的安全架构都脆弱的。
与此同时,趋势科技还发现,几乎每个月都有数百个软件漏洞被发现,而即时的修补不但耗费大量的人力成本,还会因为兼容性问题出现“死机”状况,这都让服务器随时要做好“回滚”的准备。而且,通常对于尚在服役的旧版操作系统而言,由于需要单独付出费用,很多服务器和终端几乎是“赤裸”工作。许多网络管理员、系统管理员、数据库管理员也都对打补丁工作十分抵触,因为这已经占据了他们日常工作中的大量时间,而安全主管则需要随时提防数据泄露事件的发生。为了不在业务集中时段重新启动服务器,或者调整防火墙等安全策略,“打补丁”已经成为了IT运维工程师“加班”的代名词。
虚拟补丁——成为“安全减压”的最佳途径
谈到解决方案,趋势科技(中国区)资深产品经理张明台说:“趋势科技针对上述安全管理的难题,利用独有的云安全技术与入侵检测防火墙插件(HIPS plug-in)技术相结合,在服务器深度安全防护系统(DeepSecurity)和防毒墙网络版(OfficeScan)等多项安全产品都提供了配套的虚拟补丁Virtual Patching(虚拟补丁)解决方案。“
虚拟补丁是一种基于主机的安全功能,在未对漏洞进行永久补丁修复之前,其工作原理不是修改可执行程序,而是针对网络数据流的深层分析,检测入站流量并保护应用程序免受攻击。同时,趋势科技的虚拟补丁技术整合了全球(例如 CERT、SANS、Bugtraq、VulnWatch、PacketStorm和Securiteam)第一时间公布的漏洞防护和补丁通知,并可以通过深度包检测模块,在流量和系统的实时监控过程中,自动发现应用程序和操作系统中的漏洞。趋势科技为企业提供了适用于服务器和终端的完整虚拟补丁修复覆盖范围,作为趋势科技服务器深度安全防护系统(DeepSecurity)产品内的一个模块,以及防毒墙网络版(OfficeScan)产品的一个入侵防御防火墙插件。这样,企业安全团队便能通过一致的管理和报告界面,将虚拟补丁部署到企业组织内的服务器和桌面。尤其是当终端的维护数量达到上百台的规模之后,企业环境中的防毒墙网络版用户可通过入侵检测防火墙插件,可、接受使用统一的安全策略,阻止访问社交网站和挂马网站中针对最新漏洞的攻击代码和流量。
近期,根据国际知名的调研机构Ogren Group 的报告显示:“趋势科技虚拟补丁方案,可以让IT 部门以有序方式安排补丁工作的部署,这为安排补丁优先级、永久补丁修复和软件源代码修正都争取了时间。在应对零日(0day)攻击方面,这项技术在厂商未推出正式补丁之前,以及不再提供商业支持的旧版软件(或许永久都不会出现补丁)最佳方案。”同时,Ogren Group 还建议企业利用虚拟补丁所带来的成本节省优势。尤其是虚拟补丁技术可为IT人员提供简便的补丁管理流程,这将极大的延长了许多旧版应用系统的生命周期,让投资回报率成倍增长。例如,使用Windows 2000Server的支持合同起价为每季度五万美金,而Oracle 10.1、Red Hat 3 和 Solaris 8也都有按补丁付费的计划。
虚拟补丁——提供数据中心的持久动力
虚拟化技术以其便捷性、灵活性、扩展性的特点,已经渗透到了数据中心的每个角落。企业投入有限资源来实现IT价值最大化、追求高回报率、提供最佳的服务水平,以及永不停机的神话,这是虚拟化技术的最强优势。趋势科技虚拟补丁方案除了为旧版应用服务器提供的最小维护成本之前,还避免了因为打补丁所必须要进行的重新启动,或者因为兼容性问题造成的业务中断。
对于哪些需要符合服务水平协议(SLA)的关键业务,用户在使用Deep Security产品时,都可以在不停机的状况下得到补丁修正,这为履行签订的“服务器在线运行时长、可用率”提供了兑现的可能。由于降低对操作系统与应用程序的干扰,虚拟补丁会根据主机导向的规则来检查漏洞,同时拦截攻击的流量,因此对于哪些“不可随意乱碰”、“敏感”的Oracle、SAP与定制化应用程序,当出现兼容性问题时,用户只需要关闭规则,而不是大费周折的进行“回滚”操作。
此外,趋势科技虚拟补丁方案可以通过一个补丁实例可以保护多台虚拟机,Deep Security通过自动保护服务器上所有虚拟机的应用程序漏洞,为IT人员节省时间和精力,而大部分时间内,这都是一项自动化的运维工作。例如:之前ASP.NET中存在的高危漏洞 (CVE-2011-3414),安装了趋势科技Deep Security的用户,则可以不用担心此类的拒绝服务威胁。
传统的劳动密集型 IT 补丁流程已经不在适应与大型计算中心、私有云、虚拟化,因此,在虚拟化平台上采用自动补丁管理来替代手工操作的需求已经十分明显。相信,随着数据整合时代的到来,虚拟补丁能够以更低的成本、更快时效、更简便的流程,有效封堵黑客与恶意代码攻击,这已经成为云计算和虚拟化的进程中不可或缺的安全工具。
